schard schrieb@wirr: Und dann zieht sich der unberechtigte Benutzer via curl oder wget das firefox Paket von einem Mirror und entpackt die Binary nach ~/.local/bin und keiner hat was gewonnen.
Wenn der unberechtigte Benutzer DAS durchzieht, kennt er sich womöglich schon so gut aus, dass es sowieso schwieriger wird. Dann kennt er womöglich auch andere Tricks, an gewisse Rechte zu gelangen.
Also: Kenntnisse des Users (z.B. Kinder?) einschätzen und entsprechend konfigurieren oder Rechte so restriktiv einrichten, dass auch ein kompetenter User (zumindest unter seinem Login) nichts ausrichten kann. Z.B. mittels default umask oder ACLs. Dann können keine Programme ohne Eingriff des Admins mehr ausgeführt werden, egal wo sie liegen. chmod und chown sollte man natürlich entsprechend sperren.
Um z.B. Linux-kompetenten Kindern die Nutzung eines Browsers zu gestatten, aber nur bestimmte Seiten zuzulassen, würde ich z.B. eher mit nem eigenen DNS/Routen arbeiten. Am besten dann natürlich auf nem eigenen Kinder-Rechner, wo auch die Rechte der Nutzer entsprechend restriktiv sind. Wenns auf dem Eltern-PC sein soll, dann geht auch das per Script, das bei Nutzeranmeldung die /etc/network/interfaces ändert.
Ansonsten apparmor.